良好的加密哈希函数

Question

可能的重复：
PHP 密码的安全哈希和盐

我正在制作一个网站，并且我需要一个安全的算法来存储密码。 我首先想到的是 bcrypt，但后来我发现我的主机不支持它，而且我无法更改主机。

我的主机允许这种加密：

• 标准 DES

和这些哈希值：

• MD5
• md2、md4 和 md5 md5
• sha1、sha256、sha384 和sha512ripemd128
• 、ripemd160、ripemd256 和ripemd360
• 漩涡
• tiger128,3、tiger160,3、tiger192,3、tiger128,4、tiger160,4 和Tiger192,4
• snefru
• gost
• adler32
• crc32 & crc32b
• haval128,3, haval160,3, haval192,3, haval224,3, haval256,3, haval128,4, haval160,4, haval192,4, haval224,3, haval256,4, haval128,5, haval160,5, haval192 ,5, 哈弗224,5 & haval256,5

那么，你们中的任何人都可以用它和盐修复一个好的算法吗？

Answer 1

您根本不应该存储加密（甚至未加密）的密码。相反，使用加盐哈希（拉伸，例如使用 PBKDF2），最好是 SHA2-512。

作为参考，这里是列出的哈希值的分类（有关详细信息，请参阅 wikipedia）：

加密（不是哈希函数）：DES
非加密校验和（可笑）：adler32、crc32、crc32b
损坏：MD2、MD4、MD5、SHA1
可能损坏：Tiger、snefru、GOST、HAVAL*
可能安全：SHA2-256/384/512、RIPEMD-128/256、RIPEMD-160/320、WHIRLPOOL

请注意，强度是指找到与已知匹配的任何密码的攻击哈希（原像攻击）。此外，上述排序是偏执的，立即丢弃任何具有任何已知漏洞的哈希。

Answer 2

crc32、adler32 等并不是为了加密安全而设计的——它们只是快速校验和算法。我认为 salted SHA-256 应该提供安全性和兼容性的良好组合。

说得不那么严重的是，我曾经记得在一台慢速服务器上使用 salted MD5，该服务器预计会承受中等负载。因此，我决定用 32 位随机盐填充它，并将整个内容存储为十六进制 - 它给人的印象是整个内容是未加盐的 SHA-1。我真诚地希望有人浪费宝贵的时间在被盗的转储上运行彩虹表！

安全性并不全在于更昂贵的散列:)

Answer 3

您应该

• 使用盐作为哈希的一部分。
• 使用迭代次数超过 10,000 次的迭代例程。例如，PBKDF#2。
• 使用已知的强哈希（SHA-256、SHA-512）

Answer 4

您应该将密码存储为如上所述的哈希值，而不是加密的。

哈希函数基本上是一种单向转换，它总是为相同的输入参数生成相同的哈希值。不应将哈希值转换回其原始形式，否则哈希函数将被视为损坏。

加密是一种双向转换，如果您有密钥，您可以将加密数据转换回其原始形式。

通过将密码存储为散列，并且由于它们是一种转换方式，因此即使有人掌握了数据库也无法提取它们。

检查密码时，只需使用与存储的密码相同的哈希函数对其进行转换，然后对照数据库进行检查。

Answer 5

正如 gnur 所说，您需要决定是否要对密码进行散列或加密。如果这些是您自己的用户的密码并且这些密码仅在您的系统上使用，则使用盐和拉伸对它们进行哈希处理。在可用的哈希算法中，请使用 SHA-256 或 SHA-512。对于 salt，使用 128 个随机位（16 字节）。理想情况下使用加密 RNG，但在紧要关头也可以使用非加密 RNG。无论如何，攻击者都被认为知道盐。足够长，处理单个密码大约需要 0.1 秒。这限制了攻击者每秒只能尝试十次破解密码。

如果您要存储登录外部系统的密码，那么您将需要加密密码并在需要时解密。 DES 是您唯一真正的选择，除非您还有 3DES（又名 Triple DES 或 DESede）可用。我很惊讶 AES/Rijndael 不可用。如果是，那么我们优先于 DES。